近来，恶意 Chrome 扩展窃取用户信息的事件频发，就在上个月，TrendMicro 刚刚曝光了 Facexworm 恶意软件，最近，安全公司 Radware 又披露了一组携带 Nigelthorn 病毒的 Chrome 扩展程序。

这组恶意程序包括7个合法 Chrome 扩展的恶意拷贝版本，包括 Nigelify、PwnerLike、Alt-j、Fix-case、Divinity 2 Original Sin: Wiki Skill Popup、keeprivate 和 iHabno。

这些恶意软件的工作机制与 Facexworm 类似，当 Facebook 用户点击某个链接，将会登陆到虚假的 YouTube 网页，并下载恶意 Chrome 扩展程序。

入驻用户设备之后，病毒会联系 C&C 服务器并下载攻击负载，它可以执行不同的任务，如窃取 Facebook 凭证和 Instagram Cookie，进行 YouTube 欺诈，并通过受害者的朋友在 Facebook 上进一步传播。

同时它还安装了加密货币挖掘脚本，攫取用户算力挖掘门罗币（Monero）、百特币（Bytecoin）和 Electronuem 币，Radware 表示，截至10日，在6天时间里，恶意扩展已经开采了约1000美元的门罗币。 

Nigelthorn 同时影响 Windows 和 Linux 用户，但它仅限于 Chrome 浏览器，Radware 表示，不使用 Chrome 浏览器的用户不会面临风险。

Radware 预估 Nigelthorn 自2018年3月以来一直处于活跃状态，在100多个国家感染了超过100000名用户，其中75％在菲律宾、委内瑞拉和厄瓜多尔。经过报告，目前这些恶意扩展已从 Chrome 商店中移除，考虑到攻击者最近在 Chrome 商店中上传恶意扩展程序所获得的成功，病毒重新回归也只是时间问题。

具体细节可以阅读 Radware 博客了解。